Un site dévoilait la géolocalisation des smartphones en temps réel

18 mai 2018 à 19h34
0
Deux sociétés américaines, LocationSmart et Securus, se sont retrouvées au coeur d'un scandale suite à la découverte d'une faille qui laissait la possibilité à toute personne désireuse de visualiser la géolocalisation en temps réel de n'importe quel téléphone portable en renseignant son numéro.

Le service, fermé après la découverte de la faille, n'était pas suffisamment protégé, ce qui permettait à toute personne sachant bidouiller le code d'y avoir accès.

Connaître la géolocalisation d'autrui : malgré les garde-fous, le pistage était possible

La révélation, faite par le New York Times a eu un écho considérable aux États-Unis. Au centre du scandale, la société LocationSmart, dont le site permet de pister les téléphones portables et d'obtenir leurs coordonnées assez précises sur une carte Google Maps, en temps réel en plus. Pensé d'abord pour les entreprises qui souhaitent connaître en temps réel la géolocalisation de leurs salariés (coursiers, dépanneurs, services de secours...) et pour les parents qui veulent savoir où se trouvent leurs enfants, LocationSmart a finalement révélé, malgré lui, ces informations sensibles à toute personne intéressée.

Pister en temps réel une tierce personne sans son autorisation n'étant pas légal, LocationSmart avait bien sûr des garde-fous. Il fallait soit savoir prouver, par des documents, le bien-fondé de sa motivation, soit se limiter à expérimenter avec son propre téléphone portable uniquement. Dans ce deuxième cas, le site envoyait un SMS sur le numéro de téléphone renseigné, sa saisie valait accord pour être pisté par le compte LocationSmart correspondant. Sauf que, comme l'ont découvert les spécialistes en sécurité informatique de chez Krebson Security, manipuler un peu le code suffisait à faire de même avec n'importe quel autre numéro de téléphone.

0190000002062186-photo-geolocalisation.jpg


LocationSmart existe depuis au moins 2017

Alerté sur l'existence du problème, LocationSmart a fermé aussitôt son service. Mais les agissements de cette société ne s'arrêtaient pas là, puisque les données de géolocalisation étaient également vendues à une autre société, Securus. Securus revendait ces informations, achetées effectivement auprès de LocationSmart, à des clients dans le gouvernement américain. Cela, alors même que la loi interdit cette pratique : les différentes agences publiques (police, FBI...) peuvent uniquement obtenir ces informations auprès des opérateurs de téléphonie mobile directement.

Le service LocationSmart existait vraisemblablement depuis au moins janvier 2017, comme l'atteste cette copie sur le site Archive.org. Mais il est possible que sa technologie ait été utilisée dès 2011, la société travaillant sous un autre nom à l'époque.


Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

NVIDIA en discussion avancée pour le rachat d'ARM pour au moins 32 milliards
Vignette Crit'air : vers un durcissement des conditions d'obtention
Renault annonce une perte record de près de 7,3 milliards d'euros
Elon Musk veut fournir des logiciels, des batteries et des moteurs à d'autres constructeurs
L'électricité produite en Europe au premier semestre provenait majoritairement d'énergies renouvelables
La première station de recharge à hydrogène ferroviaire annoncée en Allemagne
Rocambole : l'application est enfin de retour sur le Google Play Store !
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Windows : le bug de recherche dans l'Explorateur bientôt réglé... Huit mois après
L'évasion Carlos Ghosn financée en Bitcoins
scroll top